حفره امنیتی عجیب ویژن پرو: پر شدن فضا با حشرات سهبعدی!
یک هکر کلاه سفید، حفره امنیتی جدیای را در هدست واقعیت ترکیبی اپل به نام ویژن پرو (Vision Pro)، کشف کرده است. این حفره امنیتی به مهاجمین این اجازه را میدهد تا اشیاء یا موجودات سهبعدی متحرک را در محیط کاربر به نمایش درآورند. تنها کاری که کاربر ویژن پرو نیاز دارد انجام دهد، بازدید از یک وبسایت مخرب از طریق مرورگر سافاری این هدست است.
رایان پیکرن (Ryan Pickren)، موسس BugPoC و مهندس امنیت سابق آمازون، در این باره مینویسد:
من یک باگ در سافاری سیستم عامل ویژن او اس پیدا کردهام که به یک وبسایت مخرب اجازه میدهد تا با دور زدن تمام هشدارها، به طور اجباری تعداد نامحدودی از اشیاء سهبعدی متحرک را در محیط کاربر ایجاد کند.
پیکرن این باگ امنیتی با شناسه CVE-2024-27812 را در ماه فوریه کشف کرد، اما اپل برای رفع این حفره و پرداخت پاداش به پیکرن، که کد این حفره را “بسیار ساده” توصیف میکند، چهار ماه زمان صرف کرد. اپل روز پنجشنبه خلاصهای از این مشکل را به عنوان یک باگ در وبکیت سافاری که منجر به حمله “عدم سرویس” میشود، منتشر کرد.
این حفره امنیتی به مهاجم اجازه میدهد تا هر تعداد شیء سهبعدی متحرکی را که خودش طراحی کرده است، در فضای فیزیکی اطراف کاربر ویژن پرو ظاهر کند. این اشیاء حتی میتوانند دارای صدای فضایی باشند، به طوری که صدای موجوداتی مانند جیرجیرکها یا خفاشها بسیار واقعیتر به نظر برسند.
قربانیان برای اینکه این اشیاء در محیط اطرافشان ظاهر شوند، نیازی به کلیک کردن روی هیچ چیز در صفحه وب ندارند. همچنین، این حفره امنیتی نیازی به فعال کردن هیچ ویژگی آزمایشی خاصی ندارد.
پیکرن در مورد انبوه حشرات مجازی که اتاقش را پر کرده بودند، گفت:
از آنجایی که سیستم عامل ویژن او اس، داک یا هر رابط کاربری دیگری برای بستن برنامهها ندارد، هیچ راه آشکار و راحتی برای خلاص شدن از شر آنها وجود ندارد، به جز اینکه به صورت دستی در اتاق بدوید و به طور فیزیکی روی تک تک آنها ضربه بزنید.
هدست ویژن پرو از زمان عرضهاش، با شمار قابل توجهی از باگها و رفع آنها مواجه شده است. اوایل امسال، باگ رمز عبور باعث شد تا خریداران این هدست 3500 دلاری برای بازگرداندن مجدد تنظیمات کارخانه، به اجبار به فروشگاههای اپل مراجعه کنند. ویژن پرو همچنین با مجموعهای از باگهای دیگر وبکیت دست و پنجه نرم کرده است. گفتنی است که آیفونها نیز در برابر حفرههای امنیتی وبکیت مصون نیستند. در ماه نوامبر گذشته، اپل اعلام کرد که دو باگ وبکیت iOS به طور فعالانه مورد سوء استفاده قرار گرفتهاند و وصلهای را برای آنها منتشر کرد.
همانطور که این مقاله نشان میدهد، اهمیت امنیت سایبری در دنیای واقعیت مجازی و ترکیبی بسیار بالاست. کشف این حفره امنیتی جدی، زنگ خطری برای اپل و سایر شرکتهای فعال در این حوزه است تا تمرکز بیشتری بر امنیت محصولات خود داشته باشند.
